研发运营安全白皮书

1、研发运营安全白皮书前言近年来，安全事件频发，究其原因，软件应用服务自身存在代码安全漏洞，被黑客利用攻击是导致安全事件发生的关键因素之一。随着信息化的发展，软件应用服务正在潜移默化的改变着生活的各个方面，渗透到各个行业和领域，其自身安全问题也愈发成为业界关注的焦点。传统研发运营模式之中，安全介入通常是在应用系统构建完成或功能模块搭建完成之后，位置相对滞后，无法完全覆盖研发阶段的安全问题。在此背景下，搭建整体的研发运营安全体系，强调安全左移，覆盖软件应用服务全生命周期安全，构建可信理念是至关重要的。本白皮书首先对于研发运营安全进行了概述，梳理了全球研发运营安全现状，随后对于信通院牵头搭建的研发运营

2、安全体系进行了说明，归纳了研发运营安全所涉及的关键技术。最后，结合当前现状总结了研发运营安全未来的发展趋势，并分享了企业组织研发运营安全优秀实践案例以供参考。目录 HYPERLINK l _bookmark0 一、研发运营安全概述 HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark1 （一）研发层面安全影响深远，安全左移势在必行 HYPERLINK l _bookmark1 1 HYPERLINK l _bookmark2 （二）覆盖软件应用服务全生命周期的研发运营安全体系 HYPERLINK l _bookmark2 4 HYPERLINK l _b

3、ookmark3 二、研发运营安全发展现状 HYPERLINK l _bookmark3 5 HYPERLINK l _bookmark4 （一）全球研发运营安全市场持续扩大 HYPERLINK l _bookmark4 5 HYPERLINK l _bookmark7 （二）国家及区域性国际组织统筹规划研发运营安全问题 HYPERLINK l _bookmark7 7 HYPERLINK l _bookmark9 （三）国际标准组织及第三方非盈利组织积极推进研发运营安全共识 HYPERLINK l _bookmark9 12 HYPERLINK l _bookmark11 （四）企业积极探索

4、研发运营安全实践 HYPERLINK l _bookmark11 14 HYPERLINK l _bookmark13 （五）开发模式逐步向敏捷化发展，研发运营安全体系随之向敏捷化演进 HYPERLINK l _bookmark13 19 HYPERLINK l _bookmark15 三、研发运营安全关键要素 HYPERLINK l _bookmark15 21 HYPERLINK l _bookmark16 （一）覆盖软件应用服务全生命周期的研发运营安全体系 HYPERLINK l _bookmark16 22 HYPERLINK l _bookmark17 （二）研发运营安全解决方案同步

5、发展 HYPERLINK l _bookmark17 31 HYPERLINK l _bookmark18 四、研发运营安全发展趋势展望 HYPERLINK l _bookmark18 41 HYPERLINK l _bookmark19 附录：研发运营安全优秀实践案例 HYPERLINK l _bookmark19 43 HYPERLINK l _bookmark20 （一）华为云可信研发运营案例 HYPERLINK l _bookmark20 43 HYPERLINK l _bookmark21 （二）腾讯研发运营安全实践 HYPERLINK l _bookmark21 50 HYPERL

6、INK l _bookmark22 （三）国家基因库生命大数据平台研发运营安全案例 HYPERLINK l _bookmark22 58图 目 录图 1 Forrester 外部攻击对象统计数据2图 2 研发运营各阶段代码漏洞修复成本3图 3 研发运营安全体系4图 4 Cisco SDL 体系框架图16图 5 VMware SDL 体系框架图17图 6 微软 SDL 流程体系20图 7 DevSecOps 体系框架图21图 8 研发运营安全解决方案阶段对应图32表 目 录 HYPERLINK l _bookmark5 表 1 2019-2020 全球各项安全类支出及预测6 HYPERLINK

7、l _bookmark6 表 2 2019-2020 中国各项安全类支出及预测7 HYPERLINK l _bookmark8 表 3 重点国家及区域性国际组织研发运营安全相关举措12 HYPERLINK l _bookmark10 表 4 国际标准组织及第三方非营利组织研发运营安全相关工作14 HYPERLINK l _bookmark12 表 5 企业研发运营安全具体实践19 HYPERLINK l _bookmark14 表 6 SDL 与 DevSecOps 区别对照21一、 研发运营安全概述（一）研发层面安全影响深远，安全左移势在必行随着信息化的发展，软件应用服务正在潜移默化的改变着

8、生活的各个方面，渗透到各个行业和领域，软件应用服务的自身安全问题也愈发成为业界关注的焦点。全球安全事件频发，代码程序漏洞是关键诱因之一。2017 年，美国最大的征信机构之一 Equifax 因未能及时修补已知的安全漏洞发生一起涉及 1.48 亿用户的数据安全、隐私泄露事件，影响几乎一半的美国人口；国内电商因优惠券漏洞被恶意牟利，酒店、求职等网站也曾发生数据安全事件，泄露百万级、亿级用户隐私数据。究其原因， 软件应用服务自身安全漏洞被黑客利用攻击是数据安全事件层出不穷关键因素之一。根据 Verizon 2019 年的研究报告Data Breach Investigations Report，在总

9、计核实的 2013 次数据泄露安全事件中，超过 30%与 Web 应用程序相关，Web 应用程序威胁漏洞具体指程序中的代码安全漏洞以及权限设置机制等。Forrester 2019 年发布的 调 查 报 告 Forrester Analytics Global Business Technographics Security Survey，2019中显示，在 283 家全球企业已经确认的外部攻击中，针对软件漏洞以及 Web 应用程序是位于前两位的，分别占比达到了 40%与 37%，具体数据见图 1，其中软件漏洞主要指对于安全漏洞的利用攻击，攻击 Web 应用程序主要指基于程序的SQL 注入、跨站

10、脚本攻击等。1%6%20%19%14%25% 30% 35% 40% 45%40%37%28%25%25%25%25%0%5% 10% 15% 20%软件漏洞（漏洞利用）Web应用程序（SQL注入、跨站脚本 使用被盗凭证（加密秘钥）DDoS水坑攻击移动恶意软件利用丢失/被盗资产DNS钓鱼勒索软件社会工程学其他数据来源：Forrester图 1 Forrester 外部攻击对象统计数据根据咨询公司Gartner 统计数据显示，超过 75%的安全攻击发生在代码应用层面。已知安全漏洞中，应用程序安全漏洞与 Web 应用程序安全漏洞占多数。美国国家标准技术研究院（NIST）的统计数据显示 92%的漏洞

11、属于应用层而非网络层。国家计算机网络应急技术处理协调中心2020 年 4 月的发布的数据显示，2019 年，国家信息安全漏洞共享平台（CNVD）收录的安全漏洞数量创下历史新高，数量同比增长 14.0%，达到 16193 个，其中应用程序漏洞占比 56.2%，Web 应用程序占比 23.3%，二者相加占比超过 76%，充分说明安全漏洞大多存在于软件应用服务本身。传统研发运营安全模式中，安全介入相对滞后。传统研发运营安全，针对服务应用自身的安全漏洞检测修复，通常是在系统搭建或者功能模块构建完成之后以及服务应用上线运营之后，安全介入，进行安全扫描，威胁漏洞修复。如当前的大多数安全手段，防病毒、防火墙

12、、入侵检测等，都是关注软件交付运行之后的安全问题，属于被动防御性手段。这种模式便于软件应用服务的快速研发部署，但安全介入相对滞后，并无法覆盖研发阶段代码层面的安全，安全测试范围相对有限，安全漏洞修复成本也更大。安全左移有助于帮助企业削减成本。代码是软件应用服务开发的最初形态，其缺陷或漏洞是导致安全问题的直接根源，尽早发现源码缺陷能够大大降低安全问题的修复成本。根据美国国家标准与技术研究所（NIST）统计，在发布后执行代码修复，其修复成本相当于在设计阶段执行修复的 30 倍。具体数据如图 2 所示。数据来源：美国国家标准与技术研究所（NIST）图 2 研发运营各阶段代码漏洞修复成本在此背景下，搭

13、建新型的研发运营安全体系，进行安全左移，覆盖软件应用服务的全生命周期，是至关重要，也是势在必行的。建立新型的研发运营安全体系有助于构建可信理念，创造可信生态，是实现软件应用服务全生命周期安全的重要一步。 PAGE 4（二）覆盖软件应用服务全生命周期的研发运营安全体系新型研发运营安全体系强调安全左移，覆盖软件应用服务全生命周期。本白皮书认为的研发运营安全指结合人员管理体系、制度流程， 在软件应用服务设计早期便引入安全，进行安全左移，覆盖要求阶段、安全需求分析阶段、设计阶段、研发阶段、验证阶段、发布阶段、运营阶段、停用下线阶段的全生命周期，搭建安全体系，降低安全问题解决成本，全方面提升服务应用安全

14、，提升人员安全能力。具体架构体系如下图 3 所示。图 3 研发运营安全体系图片来源：中国信息通信研究院体系框架具体内容包括：1）管理制度，建立合适的人员组织架构与制度流程，保证研发运营流程安全的具体实施，针对人员进行安全培训，增强安全意识，进行相应考核管理；2）明确安全要求，前期明确安全要求，如设立质量安全门限要求，进行安全审计，对于第三方组件进行安全管理等；3）安全需求分析与设计，在研发阶段之前， 进行安全方面的需求分析与设计，从合规要求以及安全功能需求方面考虑，进行威胁建模，确定安全需求与设计；4）安全研发测试，搭配安全工具确保编码实际安全，同时对于开源及第三方组件进行风险管理，在测试过程

15、中，针对安全、隐私问题进行全面、深度的测试；5） 安全发布，服务上线发布前进行安全性审查，制定事先响应计划，确保发布安全；6）运营安全，上线运营阶段，进行安全监控与安全运营，通过渗透测试等手段进行风险评估，针对突发事件进行应急响应， 并及时复盘，形成处理知识库，汇总研发运营阶段的安全问题，形成反馈机制，优化研发运营全流程；7）停用下线，制定服务下线方案与计划，明确隐私保护合规方案，确保数据留存符合最小化原则，满足国家相关规范要求。二、 研发运营安全发展现状（一）全球研发运营安全市场持续扩大全球信息安全市场保持稳定增长，应用安全市场增速高于整体安全市场。本白皮书提出的研发运营安全强调安全左移，通

16、过自动化安全测试工具，关注软件应用服务代码层面安全，与应用安全紧密关联。根据Gartner 2020 年 6 月发布的统计数据显示，全球 2019 年各项安全类支出总计 1209.34 亿美元，预计 2020 年将达到 1238.18 亿美元，其中应用安全市场规模 2019 年为 30.95 亿美元，预计 2020 年将达到市场领域20192020增长率（%）应用安全309532876.2云安全43958533.3数据安全266228527.2身份访问管理9837104095.8基础设施保护16520174835.8综合风险管理455547313.8网络安全设备1338711694-12.6其

17、他信息安全软件220622733.1安全服务61979642703.7客户安全软件62546235-0.3总计1209341238182.4亿美元，年增长率达到 6.2%，明显高于整体信息安全市场的2.4%年增长率，具体数据如表 1 所示。数据来源：Gartner，2020 年 6 月表 1 2019-2020 全球各项安全类支出及预测（单位：百万美元）我国应用安全市场增速高于全球，市场规模占全球比例达到近三分之一。2019 年，我国应用安全市场规模达到 8.48 亿美元，市场规模占全球应用安全市场规模比例达到近三分之一，预计 2020 年市场规模将达到 9.45 亿美元，年增长率达到 11.

18、5%，高于全球 6.2%的增长率。具体数据如表 2 所示。市场领域20192020增长率（%）应用安全84894511.5云安全133614488.3数据安全5656169身份访问管理173018527.1基础设施保护213923188.4综合风险管理971069.9网络安全设备75187111-5.4其他信息安全软件3793954.2安全服务131731507814.5客户安全软件27784298697.5总计84894511.5数据来源：Gartner，2020 年 6 月表 2 2019-2020 中国各项安全类支出及预测（单位：百万美元）应用程序安全测试（AST）市场增速最为迅猛，市场

19、规模占比超过应用安全总体市场规模的三分之一。根据 Gartner 2019 年 4 月发布的报告调查数据显示，应用安全测试市场预计将以 10的复合年增长率增长，这仍是信息安全领域中快速增长的部分，到 2019 年底， AST 的市场规模估计将达到 11.5 亿美元，市场规模占比超过应用安全总体市场规模的三分之一。根据Industry Research 2019 年 8 月发布的数据显示，按照应用程序安全测试类型区分，静态应用程序安全测试（SAST）将占主导地位，预计将以 24.06的复合年增长率增长，交互式应用程序安全性测试（IAST）预计将以最快的 27.58的复合年增长率增长。（二）国家及

20、区域性国际组织统筹规划研发运营安全问题重点国家与区域性国际组织已发布政策规范，重视研发运营安全问题。软件应用服务是信息化的重要组成部分，源代码是软件应用服务的最原始形态。越来越多的国家已经意识到软件应用服务的源代码安全的重要性，在强调安全运营、防御的基础之上，通过发布一系列政策以及指南，从国家层面规范此方面的工作。目前美国、英国、俄罗斯、印度、澳大利亚以及欧盟等国家和区域组织都已经推行涉及研发运营安全的战略、规范或指南，其中以美国、英国、印度、欧盟最为典型。美国发布战略计划，关注研发运营安全。美国越来越依赖于网络空间，但安全并未跟上网络威胁的增长。关于研发安全，美国国家科技委员会（NSTC）网

21、络和信息技术研发分委会在 2019 年 12 月发布联邦网络安全研发战略计划，主要内容涵盖四个相互关联的防御能力：威慑、保护、探测、响应。在威慑能力中明确提出，设计安全的软件是威慑手段之一；保护能力关于研发安全具体包含两个方面的内容，1）减少脆弱性，具体行为包括安全设计、安全开发、安全验证、可持续安全；2）执行安全原则，具体涵盖使用加密机制保护数据，提高访问控制效率，避免安全漏洞引入。此外，美国国土安全部资助软件质量保证（SQA）项目，提升软件应用安全性，软件质量保证（SQA）项目发展工具与技术，用于分析识别软件中的潜在安全漏洞，具体而言，该项目强调软件代码开发过程中，安全性分析以及脆弱性识别

22、，从而在开发过程的早期发现并消除漏洞、缺陷。关于运营安全，联邦网络安全研发战略计划中提出的探测与响应能力和运营安全密切相关，具体内容包括实时监测系统安全，及时检测甚至预测安全威胁，动态评估安全风险，对于安全威胁进行联动、自适应处理等内容。英国推行源码审查，发布研发运营安全相关战略指南，提升整体软件应用服务安全性。英国基于自身 IT 产业情况，使用其他国家企业的网络信息技术产品和服务的情况较多，供应链更为复杂。针对软件应用代码安全以及研发安全，英国推行网络安全审查机制，采用相对市场化的评估机制，这其中就包括深层次的源代码审查测试，检测相关产品或服务是否存在安全缺陷或漏洞。同时，英国国家网络安全中

23、心（NCSC）于 2018 年 11 月发布安全开发和部署指南，具体包含 8 项安全开发原则，1）安全开发关系每一个人；2）保持安全知识实时更新；3）研发干净可维护的代码；4）保护开发环境；5）保护代码库；6）保护构建和部署管道；7）持续进行安全性测试；8）对于安全威胁、漏洞影响提前计划，8 项原则均与研发安全密切相关。针对运营安全，国家网络安全战略 2016-2021中明确提出要提升防御能力，提高政府和公共部门抵御网络攻击的弹性，定期评估关键系统的安全漏洞，业界应与国家网络安全中心（NCSC）共享网络威胁最新情报，进行主动防御等具体举措。印度推行国家战略，推动系统应用研发运营安全。印度作为软

24、件开发大国，对代码安全方面的要求较高。针对研发安全，印度国家网络协调中心（NCCC）在 2013 年曾发布国家网络安全战略（NCSS 2013），推动网络安全研究与开发是其战略之一，包括解决与可信系统的开发、测试、部署和维护整个生命周期相关的所有问题。2020 年，正在征求意见更新国家网络安全战略（NCSS 2020），安全测试左移，集成到开发周期之中，安全团队成为应用程序开发生命周期的一部分是主要趋势之一。针对运营安全，在战略中提出，创建安全威胁早期预警、漏洞管理和应对安全威胁的机制；建立国家级的系统、流程、结构和机制，对现有和潜在网络安全威胁进行必要情境推测。欧盟颁布实施法案，注重国际合作

25、，推进整体的研发运营安全。欧盟在 2019 年 6 月 27 日，正式施行网络安全法案，旨在有效应对随着数字化和连接性的增加而带来的与网络安全相关的各类风险， 防范对计算机系统、通信网络、数字产品、服务和设备等带来的潜在威胁，进一步完善欧盟的网络安全保护框架。针对研发设计安全，明确提出，参与产品设计开发的组织、制造商、提供商应在设计和开发的早期阶段采取安全措施，推测安全攻击的发生，减少安全风险的影响，同时安全应贯穿产品全生命周期，以减少规避安全风险。针对运营安全，强调制定和更新联盟级别的网络和信息系统安全策略，对于安全事件联合处理，内部成员国共享安全信息、技术解决办法，提升事件处置的效率。 P

26、AGE 12美国英国印度欧盟国家政策、指南联邦网络安全研发战略计划软件质量保证（SQA）项目网络安全审查机制安全开发和 部 署 指南国家网络安全战略网络安全法案研发安全联邦网络安全研发战略计划中涵盖威慑、保护、探测、响应四项能力，其中威慑、保护与研发安全密切相关，在威慑中明确提出，设计安全的软件是威慑手段之一；保护具体包含两个方面，1）减少脆弱性，具体行为包括安全设计、安全开发、安全验证、可持续安全；2） 执行安全原则，具体涵盖使用加密机制保护数据，提高访问控制效率，避免安全漏洞引入；美国国土安全部资助软件质量保证（SQA） 项目，提升软件应用安全性，软件质量保证（SQA）项目发展工具与技术，

27、用于分析识别软件中的潜在安全漏推行网络安全 审 查 机制， 采用相对市场化的评估机制， 其中包括深层次的源代码 审 查 测试， 检测相关产品或服务是否存在安全缺陷或漏洞英国国家网络安全中心（NCSC）发布安全开发和部署指南，包含 8 项安全开发原则，1）安全开发关系每一个人； 2）保持安全知识实时更新；3）研发干净可维护的代码；4） 保护开发环境；5）保护代码库；6） 保护构建和部署管道； 7）持续进行安 全 性 测试；8）对于安全威胁、漏洞影响提印度国家网络协调中心（NCCC）在2013 年发布国家网络安全战略（NCSS2013），推动网络安全研究与开发是其 战 略 之一， 包括解决与可信系

28、统的开发、测试、部署和维护整个生命周期相关的所有问题。2020 年， 正在征求意见更新国家网络安全战略（NCSS2020），安全测试左移， 集成到开发周期之中， 安全团队成为应用程序开发生命周期的一部分是主要趋势之一。2019 年 6 月27 日施行的网络安全法案中明确提出， 参与产品设计开 发 的 组织、制造商、提供商应在设计和开发的早期阶段采取安全措施， 推测安全攻击的发生， 减少安全风险的影响， 同时安全应贯穿产品全生命周期， 以减少规避安全风险。 PAGE 12云计算开源产业联盟研发运营安全白皮书洞，具体而言， 该项目强调软件代码开发过程中，安全性分析以及脆弱性识别，从而在开发过程的早

29、期发现并消除漏洞、缺陷。前计划， 与研发安全密切相关。网络安全法案强调制定和更新联盟级别的网络和信息系统安全策略， 对于安全事件联合处理， 内部成员国共享安全信息、技术解决办法， 提升事件处置的效率。运营安全联邦网络安全研发战略计划提出的四项能力中，探测和响应与安全运营密切相关，具体内容包括实时监测系统安全，及时检测甚至预测安全威胁， 动态评估安全风险，对于安全威胁进行联动、自适应处理。国家网络安 全 战 略2016-2021 中明确提出要提升防御能力， 提高政府和公共部门抵御网络攻击的弹性， 定期评估关键系统的 安 全 漏洞， 业界与国家网络安全 中 心（NCSC）共享网络威胁最新情报， 进

30、行主动防御等具体举措。国家网络安全战略中提出， 创建安全威胁早期预警、漏洞管理和应对安全威胁的机制； 建立国家级的系统、流程、结构和机制， 对现有和潜在网络安全威胁进行必要情境推测等具体措施。表 3 重点国家及区域性国际组织研发运营安全相关举措（三）国际标准组织及第三方非盈利组织积极推进研发运营安全共识ISO27304 关注建立安全软件程序流程和框架。ISO27034 是国际标准化组织通过的第一个关注建立安全软件程序流程和框架的标准， 提供了面向企业落地应用安全生命周期的指导框架，其本质目的是指导企业如何通过标准化的方式把安全融合进入软件生命周期。ISO27034 由七个部分组成，除了第四部分

31、外已全部发布。SAFECode 专注于应用安全。SAFECode 成立于 2007 年 10 月，在过去 10 余年中，其发布的指南已被用于为许多重要行业和政府提供信息，以解决软件安全问题。SAFECode 组织认为尽管存在差异，但业界公认的通用安全开发实践已被证明既实用又有效；在软件保证流程和实践中提供更高的透明度有助于客户和其他关键利益相关者有效地管理风险。2018 年 3 月SAFECode 发布第三版安全软件开发基本实践，并在之后持续更新。安全软件开发基本实践说明保证软件安全的具体开发和实施细则，以确保软件按预期运营并且没有设计缺陷和实现缺陷，具体内容包括安全设计原则、威胁建模、安全编

32、码实践、测试和验证、脆弱性及安全事件响应等。OWASP（Open Web Application Security Project，即开放 Web 应用程序安全项目）关注软件安全，致力于改善软件的安全性，推动全球软件安全的革新与发展。OWASP 是一个非盈利组织，于 2004 年 4 月 21 日在美国成立。OWASP 提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息，协助个人、企业和机构来发现和使用可信赖软件。其发布的 OWASP Top 10 代表了对Web 应用程序最严重的 10 大安全风险，已经成为业界共识，是企业制定代码安全策略的重要参考文件，也是进行安全编码的有效一步。

33、ISO27034SAFECodeOWASP关注对象建立安全软件程序流程和框架应用安全软件安全，改善软件的安全性具体内容ISO27034 由七个部分组成，是国际标准化组织通过的第一个关注建立安全软件程序流程和框架的标准，提供了面向企业落地应用安全生命周期的指导框架，其本质目的是指导企业如何通过标准化的方式把安全融合进入软件生命周期。SAFECode 发布的指南已被用于为许多重要行业和 政 府 提 供 信息，以解决软件安全问题；其发布的安全软件开发基本实践说明保证软件安全的具体开发和实施细则， 以确保软件按预期运营并且没有设计缺陷和实现缺陷，具体内容包括安全设计原则、威胁建模、安全编码实践、测试和

34、验证、脆弱性及安全事件响应等。OWASP 提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息，协助个人、企业和机构来发现和使用可信赖软件其 发 布 的OWASP Top 10 代表了对 Web 应用程序最严重的10 大安全风险， 已经成为业界共识，是企业制定代码安全策略的重要参考文件， 也是进行安全编码的有效一步。表 4 国际标准组织及第三方非盈利组织研发运营安全相关工作（四）企业积极探索研发运营安全实践微软持续改进安全开发生命周期（SDL，即 Security Development Lifecycle，以下简称 SDL）流程措施，推行研发运营安全实践。自2004 年以来，SDL

35、作为微软一项强制性政策，在将安全性融入企业文化与软件开发实践中发挥了重大作用，在推出之后，对于其内容也在不断进行更新改进，目前具体举措包括 1）管理制度，提供安全培训， 增强安全意识，确保人员了解安全基础知识；2）安全要求，定义安全隐私要求与安全门限要求，包括法律和行业要求，内部标准和编码 PAGE 15惯例，对先前事件的审查以及已知威胁等，安全门限要求指安全质量的最低可接受级别，明确定义安全漏洞的严重性阈值；3）安全隐私需求分析与设计，具体措施包括执行威胁建模，建立设计要求，明确加密标准；4）管理使用第三方组件的安全风险，拥有准确的第三方组件清单，并了解其安全漏洞可能对集成它们的系统的安全性

36、产生影响；5）安全研发与验证，具体举措包括使用经过安全性检查，认可的工具，执行静态应用程序与动态应用程序安全性测试，进行渗透测试；6）发布部署阶段，建立标准的事件响应流程，7）针对运营安全， 通过人员权限认证，数据加密存储、传输，安全监控，定期更新安全策略，抵御常见网络攻击，执行渗透测试等手段保证上线运营阶段的安全。借鉴行业领先实践、技术，思科推行企业安全开发生命周期，减少产品安全风险。如下图 4 所示，具体措施涵盖，1）明确安全要求， 包括思科内部安全基线要求与基于行业、场景的市场安全要求；2） 第三方安全，利用工具了解潜在的第三方软件安全威胁，不断更新已知第三方软件威胁和漏洞列表，对于产品

37、团队进行告警；3）安全需求分析与设计，内部安全培训计划鼓励所有员工提高安全意识，同时鼓励开发和测试团队深入学习安全知识，通过持续不断地发展威胁意识，并利用行业标准原则和高度安全的经过审查的解决方案，努力开发出设计上更加安全的产品；通过威胁建模了解和确定系统的安全风险并确定优先级；4）安全编码与验证，建立内部的安全编码标准， 维护经过审核的通用安全模块，同时通过静态应用程序安全测试与漏 PAGE 16洞扫描，渗透测试等手段保证安全性；5）发布部署，建立安全发布标准，确保发布部署安全；6）上线运营，通过安全运营操作流程与持续安全监控、更新保证产品上线之后的安全。图片来源：Cisco图 4 Cisc

38、o SDL 体系框架图VMware 建立安全开发生命周期项目，识别和减少 VMware 软件产品研发阶段的安全风险。VMware SDL 的发展受到行业最佳实践和组织的深远影响，会定期评估 SDL 在识别风险方面的有效性，并随着SDL 活动的发展和成熟不断对于流程进行优化改进，增添新型技术。目前VMware SDL 中的安全活动主要囊括，1）安全培训，对于人员进行基于角色和技术的安全以及隐私培训；2）安全规划，对于随后的安全审查活动制定基线要求；3）安全要求，涵盖认证、授权、加密、证书、网络安全性等内容；4）安全设计，通过威胁建模明确安全风险，改进安全设计；5）安全研发验证，通过静态代码分析与

39、漏洞扫描、渗透测试等手段保证研发验证阶段的安全性；6）开源及第三方 PAGE 17组件安全管理，明确产品中开源及第三方组件中的安全漏洞，在发布前期进行修复；7）安全审查，对于前期所有安全工作进行二次审查； 8）上线运营，由安全响应中心进行持续的安全监控，对于安全风险进行及时响应。具体执行流程如下图 5 所示。图片来源：VMware图 5 VMware SDL 体系框架图微软思科VMware软件应用服务研发运营全生命周期安全管理安全培训提供安全培训，增强安全意识，确保人员了解安全基础知识内部安全培训计划鼓励所有员工提高安全意识，同时鼓励开发和测试团队深入学习安全知识对于人员进行基于角色和技术的安

40、全以及隐私培训安全要求定义安全隐私要求与安全门限要求，包括法律和行业要求，内部标准和编码惯例，对先前事件的审查以及已知威胁等包括思科内部安全基线要求与基于行业、场景的市场安全要求对于之后的安全审查活动制定基线要求安全要求涵盖认证、授权、加密、证书、网络安全性等内容安全隐私需求分析与设计执行威胁建模，建立设计要求，明确加密标准等利用行业标准原则和高度安全的经过审查的解决方案，努力开发出设计上更加安全的产品通过威胁建模了解和确定系统的安全风险并确定优先级通过威胁建模明确安全风险，改进安全设计第三方组件安全管理拥有准确的第三方组件清单，并了解其安全漏洞可能对集成它们的系统的安全性产生影响利用工具了解

41、潜在的第三方软件安全威胁，不断更新已知第三方软件威胁和漏洞列表，对于产品团队进行告警明确产品中开源及第三方组件中的安全漏洞，在发布前期进行修复安全编码与验证使用经过安全性检查，认可的工具，执行静态应用程序与动态应用程序安全性测试， 进行渗透测试建立内部的安全编码标准，维护经过审核的通用安全模块，同时通过静态应用程序安全测试与漏洞扫描，渗透测试等手段保证安全性通过静态代码分析与漏洞扫描、渗透测试等手段保证研发验证阶段的安全性安全发布部署建立标准的事件响应流程建立安全发布标准，确保发布部署安全对于前期所有安全工作进行二次审查上线运营安全通过人员权限认证，数据加密存储、传输，安全监控，定期更新安全策

42、略，抵御常见网络攻击，执行渗透测试等手段保证上线运营阶段的安全通过安全运营操作流程与持续安全监控、更新保证产品上线之后的安全由安全响应中心进行持续的安全监控，对于安全风险进行及时响应表 5 企业研发运营安全具体实践（五）开发模式逐步向敏捷化发展，研发运营安全体系随之向敏捷化演进研发运营安全相关体系的发展与开发模式的变化是密不可分的， 随着开发模型由传统的瀑布式开发演变成敏捷开发再转变为DevOps， 研发运营安全相关体系也随着变化，但其核心理念始终是安全前置， 贯穿全生命周期。目前研发运营安全体系中，以微软提出的安全开发生命周期（SDL）和 Gartner 提出的DevSecOps 体系为典型

43、代表。安全开发生命周期（SDL）的核心理念就是将安全考虑集成在软件开发的每一个阶段:需求分析、设计、编码、测试和维护。从需求、设计到发布产品的每一个阶段每都增加了相应的安全活动，以减少软件中漏洞的数量并将安全缺陷降低到最小程度。安全开发生命周期(SDL)是侧重于软件开发的安全保证过程，旨在开发出安全的软件应用。SDL 在传统软件开发生命周期(SDLC)的各个阶段增加了一些必要的安全活动，软件开发的不同阶段所执行的安全活动也不同，每个活动就算单独执行也都能对软件安全起到一定作用。具体内容如下图 6所示。图片来源：Microsoft图 6 微软 SDL 流程体系随着对软件开发质量和效率要求的不断提

44、高，以 DevOps 为代表的敏捷开发方法得到推崇。在此基础上，Gartner 公司于 2012 年推出了 DevSecOps 的概念， DevSecOps 即 Development Security Operations 的缩写，是一套基于 DevOps 体系的全新安全实践战略框架，旨在将安全融入敏捷过程中，即通过设计一系列可集成的控制措施，增大监测、跟踪和分析的力度，优化安全实践，集成到开发和运营的各项工作中，并将安全能力赋给各个团队，同时保持“敏捷”和“协作”的初衷。DevOps 的目的决定了其对“自动化”和“持续性”的要求更加突出，因此在将安全控制集成其中时，也应该尽量遵循“自动化”

45、和“透明”的原则。为了将安全无缝集成到 DevOps 中，Gartner 和一些专家从实践出发提出了一系列建议，主要包括：风险和威胁建模、自定义代码扫描、开源软件扫描和追踪、考虑供应链安全问题、整合预防性安全控制到共享源代码库和共享服务中、版本控制和安全测试的自动化部署、系统配置漏洞扫描、工作负载和服务的持续监控等。下图 7为DevSecOps 具体体系框架。图片来源：Gartner图 7 DevSecOps 体系框架图SDLDevSecOps适用对象软件产品安全开发全生命周期DevOps 体系，周期较短、迭代较快的业务安全责任特定安全团队研发运营所有参与人员体系特点安全集成在软件开发的每一个

46、阶段，整体提升安全性DevOps 体系中融入安全，安全工具自动化以及平台化体系重点整体安全管理制度搭配安全人员能力达到软件产品研发安全DevOps 体系中嵌入自动化安全工具，实现 DevOps 体系的安全表 6 SDL 与 DevSecOps 区别对照三、 研发运营安全关键要素本白皮书认为的研发运营安全关键要素包含两方面内容，1）覆盖软件应用服务全生命周期的研发运营安全体系，提供理论框架，指导研发运营安全的实践推进；2）研发运营安全技术工具的持续发展应用，为体系的实践提供技术支撑，加速企业组织研发运营安全的落地。（一）覆盖软件应用服务全生命周期的研发运营安全体系本白皮书提出的研发运营安全体系强

47、调安全左移，结合人员管理体系、制度流程，从需求分析设计、编码阶段便引入安全，覆盖软件应用服务全生命周期，整体提升安全性。提出的研发运营安全体系具有四大特点，1）覆盖范围更广，延伸至下线停用阶段，覆盖软件应用服务全生命周期；2）更具普适性，抽取关键要素，不依托于任何开发模式与体系；3）不止强调安全工具，同样注重安全管理，强化人员安全能力；4）进行运营安全数据反馈，形成安全闭环，不断优化流程实践。管理制度管理制度流程是推行研发运营安全的基础。在研发运营安全体系规划和建设的过程中，首先是建立组织责任体系，制定完善的研发运营安全管理体系和制度管理规范，明确管理制度和操作流程规范，建立统一的安全基线。并

48、将组织建设和人员制度管理纳入到全生命管理周期中，对应的组织负责不同的安全职责与工作，进行安全培训，建设组织级的安全文化以及对研发人员、测试人员、技术运营人员等进行安全管理，包括第三方机构的人员，实现人人都为安全负责。制度和操作规范包括1）账号和密码管理，2）故障流程管理办法， 3）应急事件分级处理措施，4）人员行为安全规范，5）变更管理制度，6）团队间安全协作流程和规范等。通过统一的流程管理平台， 保证各个流程环节能够被及时响应，各项任务能够被顺利传递、衔接。安全培训针对所有研发、测试、运营人员以及第三方合作人员， 目前是为了提升安全意识，增强研发运营安全能力。培训内容主要包括 1）安全管理制

49、度，2）安全意识培训，3）安全开发流程，4）安全编码规范，5）安全设计，6）安全测试等，并对于培训结果进行考核， 制定特殊岗位的上岗前考核机制，未通过相关考核的，不得从事向相关岗位的工作。安全要求安全要求明确研发运营安全的基线。安全要求通常包含安全管理和技术安全要求，二者需要有机结合，不可分割。具体内容包括 1） 设立质量安全门限要求，具有项目级、团队级、组织级的质量安全门限要求，根据业务场景、产品类型、语言类型划分质量安全门限要求， 智能化收集质量安全门限要求，根据业务场景等进行智能推荐；2） 项目角色以及权限管理，依据最小权限原则，建立资源、行为操作权限管控，采用多因素认证机制保证访问安全

50、，配置强密码策略，及时为不需要权限的用户或用户组移除权限；3）安全审计，对于包括研发、测试、运营的所有相关人员的所有操作行为进行审计，对于审计记录进行保护，有效期内避免非授权的访问、篡改、覆盖及删除，对于审计记录形成报表，方便查询、统计与分析，针对审计日志进行自动化与人工审计，对于安全事件进行详细记录，对于高危操作进行重点审计，进行告警通知，针对行业特点，业务特点进行定制化的安全审计策略，对于审计记录进行统计分析、关联分析等；4）环境管理， 研发、测试、生产环境隔离，生产环境具有安全基线要求，保障环境的安全，针对研发、测试环境有明确的权限管控机制，针对各类环境的操作进行详细记录，具有可追溯性，

51、定期执行生产环境的安全基线扫描，及时发现和处理安全风险，研发、生产环境具有良好的抗攻击与灾备容错能力，根据特定行业以及业务场景，对于测试环境接入安全扫描，针对不同的业务场景以及架构，对于发布环境进行分类管理， 安全加固，生产环境具安全风险自动发现、分析和修复以及秒级容灾容错切换能力；5）变更管理，有明确的进行变更条件与变更执行机制，有明确的变更授权机制，对于变更请求进行统一分析、整理，确定变更方案；6）开源及第三方组件管理，具有组织级的第三方组件库，明确优选、可用、禁用的第三方组件列表，统一组件来源，具有明确的第三方组件入库审批机制，第三方组件的引入应遵循最小化引入原则，减少安全风险，开源及第

52、三方组件与自研代码独立存放、目录隔离，开源及第三方组件来源可追溯，开源组件追溯源社区，第三方组件信息追溯到供应商，对开源软件的生命周期进行管理，记录开源软件的生命周期信息，通过自动化工具及时向使用产品进行通知预警；7）安全研发测试要求，具有组织级、团队级、项目级的安全编码规范、安全测试规范。安全隐私需求分析与设计安全前置到需求分析与设计阶段。安全隐私需求分析与设计是服务应用研发运营整个生命周期的源头。具体内容包括：1）安全隐私需求分析，应包括安全合规需求以及安全功能需求，针对安全合规需求，应分析涉及的法律法规、行业监管等要求，制定合规和安全需求基线，针对安全功能需求应根据业务场景、技术，具备相

53、应的测试用例，安全隐私需求来自法律法规、行业监管要求、公司安全策略、业界最佳实践以及客户安全需求，具有明确的安全需求管理流程，能够对安全需求的分析、评审、决策等环节进行有效管理，需求分解分配可追溯；2）安全设计原则，3）确定质量安全门限要求，4）受攻击面分析，分析应从系统各个模块的重要程度、系统各个模块接口分析、攻击者视角分析攻击手段、方式、攻击路径、权限设置是否合理、攻击难度等维度进行分析；5）威胁建模，具体行为包括确定安全目标、分解应用程序、确定威胁列表；6）安全隐私需求设计知识库，具有组织级安全需求知识分享平台，形成知识的复用，根据安全需求，得出安全设计解决方案。研发与验证研发验证是安全

54、前置实践的关键所在，研发阶段安全是整体安全左移实现关键，关注代码程序安全，验证阶段进行安全二次确认，避免风险引入。为了确保上线服务应用没有安全风险，需要在研发及测试过程中要进行全面的代码安全识别，具体内容包括：1）安全编码， 维护获得安全认可的工具、框架列表，使用获得认可的工具、框架，具有统一的版本控制系统，将全部源代码纳入版本控制系统管理，版本控制系统具有明确的权限管控机制，代码仓库具有实时代码安全扫 描机制，发现安全问题并提示修复，根据安全编码规范制定自定义安 全策略，进行自动化安全扫描，采用集成于 IDE 或其他形式提供的自动化测试工具定时进行代码安全检测，针对版本控制系统有监控机制，

55、包括人员、时间、行为操作等，方便审计回溯，制定代码合入门禁机 制，确保代码合入质量，代码仓库支持线上代码动态扫描，发现安全 问题并提示修复；2）管理开源及第三方组件安全风险，对于第三方 组件根据风险级别，有明确的优选、可用、禁用机制，代码提交前采 用扫描工具进行第三方组件安全检查，管理项目中的第三方组件许可 证以及安全漏洞等风险，针对第三方组件安全风险，推荐安全解决方 案；3）变更管理，对于变更操作进行统一管理，明确记录变更信息， 包括但不限于变更人员、变更时间、变更内容，针对重点变更内容进 行评审，变更操作具有明确的审批授权机制，重大变更操作具有分级 评审机制，具有统一的变更管理系统，变更操

56、作覆盖需求设计到发布 部署全流程；4）代码安全审查，制定明确的源代码安全检视方法， 开展源代码安全审计活动，采用工具与人工核验相结合的方式进行代 码安全审计，对于威胁代码及时通知研发人员进行修复，对高风险源 代码有分级审核机制，对于审计发现的威胁代码自动通知研发人员， 进行修复，根据行业特点、业务场景定制化开发代码安全审查工具， 制定安全审查策略；5）开源及第三方组件确认，采用工具与人工核 验的方式确认第三方组件的安全性、一致性，根据许可证信息、安全 漏洞等综合考虑法律、安全风险；6）配置审计，具有明确的配置审计机制，配置审计包括但不限于配置项是否完备、配置项与前期安全需求的一致性、配置项版本

57、的描述精确，与相关版本一致制，配置项的每次变更有记录，可以追溯到具体修改时间和修改人，产品依赖的自研模块、平台组件、开源源码、开源二进制、第三方软件被准确的定义和记录，对于明确统一的合规需求以及安全需求，进行自动化配置审计；7）安全隐私测试，具有明确的安全隐私测试要求，作为发布部署的前置条件，测试数据不包含未经清洗的敏感数据，基于安全隐私需求，有相应的安全隐私测试用例，并进行验证测试，单个测试用例的执行不受其他测试用例结果的影响，测试数据、用例应统一管理，有明确的权限管控机制，测试用例、测试数据应定期更新，满足不同阶段、环境的测试要求，具备自动化安全测试能力，对于测试结果有集中汇总与展示的能力

58、，持续优化安全测试策略，持续降低误报率与漏报率，测试过程有记录可查询，测试设计、执行端到端可追溯， 基于不同业务场景以及系统架构，进行安全测试智能化推荐与测试策略智能优化；8）漏洞扫描，采用主流的安全工具进行漏洞扫描，漏洞扫描结果有统一管理与展示平台，漏洞扫描的结果及时反馈研发人员，进行漏洞修复，具有自身以及第三方漏洞库，对于漏洞库定期更新，基于漏洞信息进行关联与聚合分析；9）模糊测试，采用主流的模糊测试工具，自动化进行模糊测试，模糊测试的结果及时反馈研发人员，进行修复，持续改进模糊测试策略；10）渗透测试，引入人工渗透测试机制，针对系统架构、应用程序、网络层面漏洞进行渗透测试，根据行业特点与

59、业务场景实施渗透测试，范围应覆盖重要安全风险点与重要业务系统，有明确的渗透测试计划与管理机制。发布部署安全发布部署是服务应用上线前的最后一道安全保障，发布阶段确保服务安全上线运营，具体内容包括：1）发布管理，有相应的发布安全流程与规范，发布操作具有明确的权限管控机制，发布应具有明确的安全检查节点，根据安全节点检查结果，有相关告警机制，针对发布流程具有安全回退、备份机制，制定发布策略，通过低风险的发布策略进行发布，如灰度发布或者蓝绿发布等方式，发布流程实现自动化，一键发布，根据安全节点检查结果，发现高危安全问题，自动阻断发布流程，对于发布流程具有监控机制，出现问题自动化回滚， 建立稽核机制，发布

60、前需要通过稽核部门的独立检查；2）安全性检查，进行病毒扫描以及数字签名验证等完整性校验，校验结果作为发布的前置条件；3）事件响应计划，具有预先的事件响应计划，包括但不限于安全事件应急响应流程，安全负责人与联系方式。上线运营运营阶段安全保障服务系统的稳定运行。为确保服务应用上线运营安全，具体措施内容包括：1）安全监控，具有运营阶段安全监控机制，覆盖全部业务场景，抵御常见威胁攻击的能力，如 DDoS 攻击， 暴力破解，病毒攻击，注入攻击，网页篡改，具有统一的安全监控平台，对于威胁攻击处理能够统一监控并可视化展示，对于监控安全事件进行分级展示，具有智能化安全监控平台，对于监控事件统一关联分析，智能识